[법률 동향] CISO 개정안 제도 분석

본문에 앞서 해당 제도 분석은 개인적인 공부를 목적으로 분석을 진행한 것이며 분석한 내용이 틀릴 수 도 있음을 사전에 명시합니다.

 

 

CISO (정보보호 최고책임자)

정보통신망법 제45조의3제4항 각호에 따른 정보보호 관련 업무에 대한 최종결정권 및 책임,

정보보호 업무 관련 예산 및 인사에 대한 직접적인 권한을 가지는 자.

해당 조항에 따라 다음과 같은 업무를 총괄한다.

- 정보보호 계획의 수립 및 시행 및 개선
- 정보보호 실태와 관행의 정기적인 감사 및 개선
- 정보보호 위험의 식별, 평가 및 정보보호 대책 마련
- 정보보호 교육 및 침해사고 모의훈련 계획의 수립 및 시행

CISO 자격 요건

* 시행령 제36조의7(정보보호 최고책임자의 지정 및 겸직금지 등) 제4항

1. 정보보호 또는 정보기술 분야의 국내 또는 외국의 석사학위 이상 학위를 취득한 사람
2. 정보보호 또는 정보기술 분야의 국내 또는 외국의 학사학위를 취득한 사람으로서
정보보호 또는 정보기술 분야의 업무를 3년 이상 수행한 경력이 있는 사람
3. 정보보호 또는 정보기술 분야의 국내 또는 외국의 전문학사학위를 취득한 사람으로서
정보보호 또는 정보기술 분야의 업무를 5년 이상 수행한 경력이 있는 사람
4. 정보보호 또는 정보기술 분야의 업무를 10년이상 수행한 경력이 있는 사람
5. 정보보호 관리체계(ISMS) 인증심사원의 자격을 취득한 사람
6. 해당 정보통신 서비스 제공자(기업)의 소속인 정보보호 관련 업무를 담당하는 부서의 장으로 1년 이상 근무한 경력이 있는 사람

 

 CIO와 CISO 역할 차이

- CIO
끊임없는 변화와 치열한 경쟁 시대에 기업이 살아남을 수 있도록 해법을 마련하기 위하여 기업의 신경망에 해당되는 요소인 정보기술 도입과 개발, 구현등을 통해 기업을 “건강한 기업”, “비전 있는 기업”으로 만드는 것 또한, IT 방침을 마련하고 비즈니스 전략과 IT 전략을 연계하는 관리 작업에 핵심적인 역할을 수행.

- CISO
전사적 차원에서 정보시스템은 물론 인적, 물적 보안체계를 안전하게 관리하고, 운영과 통제를 책임지는 업무를 맡음
기업에서의 정보보호 최고책임자의 역할은 기업의 비전과 경영상황, 사업 분야에 대한 고찰을 통해 전사 차원의 정보보호 정책과 운영절차를 결정하는 한편, 정보시스템을 비롯한 주요업무에 대하여 취약성 분석과 위험 분석을 실시하여 적정한 위험 수준을 유지하도록 한다.

또한, 자사의 IT 인프라에 적합하고 투자 대비 효과 측면에서 적정한 정보보호 솔루션을 도입하여 기업 내, 외부의 악의적 공격에 대응 가능한 모습을 갖추는 것도 큰 역할 중 하나이다.

 

CISO의 역할의 구체적 규명

1. 지적자산 가치 평가자 역할
기업이 가지고 있는 지적자산의 종류 및 그 가치를 평가할 수 있는 지식과 능력을 갖추고 이를 토대로 이들 자산이 외부로 유출되었을 때 기업에 어떠한 피해 및 손해를 끼칠 것인지를 예측할 수 있는 지적자산 가치 평가자의 역할 모델.

2. 정보통신 인프라의 전략적 활용촉진 자 역할
정보통신 인프라가 정보보안과 관련하여 사용이 제안됨으로 인하여 경영 활동에 제약을 가하게 되고 기업의 서비스가 중지되어 고객에게 손해를 끼치게 되어 기업의 경쟁력을 약화하는 것을 미연에 방지하는 역할

3. 기술확보자 역할
기업의 비전에 맞게 정보보안 전략을 수립하고, 정책, 기술, 표준화 등의 제반 사항을 수립하는 정보보안 전략, 기술확보자 역할.

4. 변화관리자 역할
경영환경과 정보통신기술이 지속해서 변화하고 있는데 이들 변화를 빠르게 분석하고 기업에 적용하는 변화관리자 역할.

CISO가 정보통신 인프라의 사용을 제한할 개연성을 미리 제거하는 데 중점을 두는 정보통신 인프라의 전략적 활용 촉진 자로 역할 인식을 할 때 정보보호 안정성과가 높게 나타나는 것으로 나타났으며 정보보호 기반 성과도 함께 높아지는 것으로 나타났다.

CISO가 기업의 지적자산의 종류 및 그 가치를 평가하고, 그 자산의 유출이나 침해 예방에 중점을 두는 지적자산 가치 평가자로서 역할 인식과 경영환경과 정보통신기술의 변화를 빠르게 분석하여 기업에 적용하는 데 중점을 두는 변화관리자로서 역할 인식을 할 때도 정보보호 성과에 영향을 미치는 것으로 나타났다. 그리고 기업의 비전에 맞게 정보보안 전략을 수립하는 데 중점을 두는 정보보안, 전략, 정책, 표준 기술 확보자로서의 역할 인식이 위 두 가지 역할 인식보다 정보보호 성과에 더 높은 영향을 미친다.

기업서비스가 중지되면 가장 빠른시간 내에 복구할 수 있는 시스템을 구축하여야 하고, 정보통신 인프라 사용의 제약으로 인한 기업경쟁력 약화가 기업의 생존에 악영향을 미치기 때문에 이를 사전에 제거하는 것이 CISO가 인식해야 할 중요한 역할이다.

 

CISO 역할과 관련된 이슈

앞서 언급한 것처럼 CISO는 기업의 서비스가 중지되면 가장 빠른시간 내에 복구할 수 있는시스템을 구축하여야 한다. 그게 외부로 인한 공격이든 내부의 기술적 오류든 정보통신 인프라 사용의 제약으로 인한 기업의 경쟁력이 악화되는 것은 곧 기업의 생존에 악영향을 주기 때문에 이는 곧 CISO가 수행해야 할 가장 중요한 업무 중 일환이다.

 

4차 산업혁명이 진행되며 초연결 사회가 진행되면서 우리 사회가 얼마나 인터넷에 의존하고 있는지 보여주는 케이스이다. 이때 통신사의 네트워크 장애로 유, 무선의 인터넷이 끊어지며 전국 모든 지역에서 통신사 가입자 2600만 명이 불편함을 겪었다. 이는 불편함만을 유발한 것이 아니라 병원, 공공기관 등 주요시설에서도 인터넷이 끊기며 엄청난 피해를 주었다.

이러한 문제를 방지하기 위해서는 CISO의 역할이 중요하다. 앞으로의 사회발전에 있어서 디지털은 좀 더 우리 사회에 더 필수적인 요소가 될 것이고 우리는 개정된 CISO 제도와 이전의 제도를 비교해보며 쟁점을 파악해야 할 의무가 있다.

 

https://www.boannews.com/media/view.asp?idx=110700&page=2&kind=1 

카카오 서비스, 언제 완전 복구될까... 사용 빈도 높은 서비스부터 순차 복구중

https://www.joongang.co.kr/article/25018011#home

고작 37분 통신 먹통에 “국민 절반 ‘디지털 손발’ 묶였다” | 중앙일보

 

 

개정 전 CISO 제도의 문제

1. CISO 겸직 제한
- 현행 정보통신망 이용촉진 및 정보보호 등에 관한 법률(약칭: 정보통신망법) 제45조의3 제3항, 제4항에 의거하여 CISO는 법이 정하는 일정한 업무를 겸직할 수 없다. 이러한 문제는 기업에서 CISO와 CPO를 별개로 지정함으로 역할분담에 있어
현실적인 난점이 있고, 경우에 따라서는 중복적인 투자 및 업무 배분이라는 문제가 발생하기도 한다.

2. CISO 자격 요건 및 CISO 지정 신고 의무의 어려움
- 개정 전 정보통신망법상 CISO 지정의무가 있는 정보통신서비스 제공자는 임원급 인사만을 CISO로 지정할 수 있었다. 이는 현실적으로 정보통신서비스 제공자에게 인력 및 조직 운영에 어려움을 부여한다.

3. CISO 관련 의무조항 위반에 대한 처벌근거 부족
- 현행 정보통신망법하에서는 정보통신서비스 제공자가 CISO 지정 신고 의무를 위반한 경우 3,000만 원 이하의 과태료가 부과될 수 있다(제76조 제1항 제6의 2호). 그러나 이를 제외하면, 사업자가 CISO 관련 의무를 위반하더라도 시정조치 명령
이외의 특별한 제재를 부과할 법률적 근거가 없는 게 현실이다.

 

변경된 CISO 제도 내용

[출처] KISA CISO 지정신고 제도 안내서

1. CISO 자격 요건 및 지정 신고 의무 완화

가장 크게 바뀐 점으로는 현행법상 임원급으로 정해져 있는 지정의무를 대통령령으로 정하는 기준에 해당하는 임직원을 CISO로 지정할 수 있도록 규정, 대통령령으로 임원급 인사뿐 아니라 일정한 자격을 갖춘 임원급 이외의 자를 지정할 수 있도록 보완.

 

CISO 지정 후 신고 의무 또한 일부 완화. 현행 정보통신망법하에서 CISO 지정의무가 있는 정보통신서비스 제공자는 반드시 CISO 지정 사실을 과기정통부 장관에게 신고하여야 함. 그러나 개정안은 자산총액, 매출액 등이 대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자의 경우에는 CISO를 신고하지 아니할 수 있도록 규정하고 있음. 이처럼 신고 의무가 면제되는 구체적 기준에 관하여, 과학기술정보통신부는 정보보호 필요성이 큰 ‘중기업’ 이상에 대하여만 신고 의무를 부과하게 하며, 신고 의무가 면제된 기업은 정보보호 최고책임자를 대표자로 간주.

 

2. CISO의 겸직 제한 완화

기존 현행법상 CISO와 CPO의 중복업무에 관한 문제가 있었는데 개정 후 CISO가 CPO의 업무를 겸직할 수 있게 되므로 역할분담과 중복적 투자 및 업무 배분이라는 문제를 어느정도 해결될 것으로 예상됨. 그러나 겸직 제한 완화도 기존의 CISO 겸직 제한 규정을 원칙적으로 유지하되 CISO가 “개인정보 보호법상 개인정보보호 책임자의 업무, 전자금융거래법상 정보보호 최고책임자의 업무” 등 일정한 업무만을 겸직할 수 있음.

3. CISO 관련 의무조항 위반 시 과태료 부과 근거 신설

현행법상 지정 신고 의무 외에는 처벌할 근거가 부족하여 시정조치 명령밖에 내리지 못하였지만, 이번 개정안이 발의된 이후, 정보통신서비스 제공자가 CISO 지정 신고 의무를 위반하는 경우는 물론, CISO 겸직 제한 및 CISO의 자격 요건에 관한 규정을 위반하는 경우에도 3,000만 원 이하의 과태료를 부과할 수 있게 됨.

개정안에 대한 기업의 이익에 대한 의견

정보보호 법규를 지정할 때 중요한 영역 중 하나는 기술적인 이해도 있지만, 필드를 얼마나 잘 이해하냐이다. 

CISO를 모두 임원급으로 두면 이론상으로는 정보보호에 비중을 두는 거 같지만 이러한 조건을 모두 수용할 수 있는 기업은 대기업을 제외하고는 몇 안 될 것이다. 과기정통부의 사이버 공격 피해 기업 통계에 따르면 98%가 중소기업인데
중소기업이 임원급을 CISO를 두고 겸직을 제한하며 운영하기에는 부담이 될 것이다. 현 개정안은 현실적인 문제를 수용하고 규정에 완화를 주는 한편 규정을 지키지 않았을 때의 처벌 규정을 좀 더 명확히 하여 기업에 자유와 책임을 모두 주는 선택인 것으로 판단된다.

개정안에 대한 자격 요건에 대한 의견

현재 국내외를 막론하고 기업의 주요 직책에 법령으로 전공과 경력요건을 상세히 명시해놓은 직책이 얼마나 있는지 모르겠다. 이는 곧 정부에서 기업의 CISO의 선임 결과를 믿지 못하겠다는 인식에서 출발된 것으로 판단된다. 이는 곧 실력이 있어도 법령에서 규정한 학력, 전공, 경력분야와 기간, 자격증 보유 형식을 갖추지못한 자는 CISO의 자격이 없다는 것을 의미한다. 이는 곧 CISO의 공급과 직결되고 외국의 GDPR조차 Daubert standard을 삼아 자격요건이 전문성을 갖춘자로 규정하는데 이는 우리나라도 반영하여 Frye standard에서 Daubert standard으로 변경하여 전문성을 갖춘 CISO의 공급을 늘려야 한다.

 

개정안에 대한 직급과 전문성에 관련된 의견

 

이번에 개정된 CISO의 직급에 관한 논점을 확인하면 보안 전문성을 갖춘 임원의 공급은 적은데, 그런 상황에서 CISO의 수요는 의무화되니 이것을 해결하기 위한 해결책으로 판단된다. 그러나 이렇게 완화되면서 CISO의 전문성과 직급 사이에서 어떤 것이 더 중요한지에 대해 판단하는 것이 중요한 쟁점이다.

 

겸직이 허가 된 경우

부장급이 CISO 업무를 담당할 경우

 

종합 정리

개인적인 의견으로는 개정안을 봤을 때 기업의 현실을 보고 개정안을 제시한 것으로 판단된다. 

그러나 아직은 좀 더 개선이 필요하다고 생각한다. 기업에게 자유를 주고 책임을 강조하여 성장을 도모하는 것은 좋으나, 실제 기업의 구조를 파악하여 기업의 보안 프로세스가 어떤 식으로 동작하는지 좀 더 명확히 판단하여 개선이 필요할 것으로 판단된다. 

 

개정의 이유였던 임원급 CISO의 공급 문제는 임직원으로 조건을 낮추는 것도 방법으로 볼 수 있지만, 자격 요건의 Daubert Standard적인 방안으로 전환하여 전문성을 가진 인재들을 공급한다면 어느 정도 해소할 수 있던 문제라고 판단된다.